SquirrelMail: Kur gegen E-Mail-Spionage
Das Webmail-Frontend SquirrelMail hat in der neuen Version 1.4.5 diverse Fehler ausgemerzt, die E-Mail-Spionage und unberechtigte Modifikationen von Nutzerprofilen betreffen.
Das SquirrelMail-Development-Team hat die Version 1.4.5 des Webmail-Frontends freigegeben. Mit dieser Release haben die Entwickler mehrere Fehler bereinigt, die vor allem Cross-Site-Scripting-LĂĽcken betreffen. Wie schon von heise Security gemeldet, konnten Angreifer beispielsweise durch Senden von sorgsam konstruierten E-Mails arglosen Nutzern HTML-Seiten unterschieben und damit deren E-Mails einsehen. Diese LĂĽcke ist einmal mehr der ParameterĂĽbergabe durch URLs geschuldet.
Gestern gaben die SquirrelMail-Entwickler einen weiteren Fehler bekannt, durch den ein Angreifer wahllos Variablen in der Datei options_identities.php setzen könnte. Damit ließen sich die persönlichen Einstellungen von Nutzern lesen und schreiben, auch Cross-Site-Scripting-Angriffe oder das Schreiben von Dateien an vom Webserver ereichbaren Orten auf dem Server ist denkbar.
Die Entwickler raten Administratoren, SquirrelMail umgehend auf die neue Version zu aktualisieren, um die Privatsphäre der Benutzer und die Sicherheit des Servers zu wahren. Versionen vor dem 1.4-Zweig werden nicht mehr unterstützt, daher empfehlen die Entwickler, ältere Versionen ebenfalls auf den neuen Stand zu hieven.
Siehe dazu auch: (dmk)
- Announcement der neuen Version auf squirrelmail.org
- Möglicher E-Mail-Klau mit SquirrelMail auf heise Security
- $_POST variable handling in options_identites allows for different attacks, Advisory auf squirrelmail.org
